CN108398940A

CN108398940A - 一种基于stpa形式化模型的安全分析方法

Info

Publication number: CN108398940A
Application number: CN201810220224.1A
Authority: CN
Inventors: 王立松; 陈苗芳; 胡军
Original assignee: Nanjing University of Aeronautics and Astronautics
Current assignee: Nanjing University of Aeronautics and Astronautics
Priority date: 2018-03-16
Filing date: 2018-03-16
Publication date: 2018-08-14

Abstract

本发明提供了一种基于STPA形式化模型的安全分析方法。所述基于STPA形式化模型的安全分析方法包括如下步骤：一、识别出相应的系统级危险，确定相应的系统级安全约束；二、建立系统分层控制结构；三、建立系统STPA形式化模型并生成不安全控制行为；四、针对步骤三生成的不安全控制行为，确定产生所述不安全控制行为的原因。本发明的有益效果是：所述基于STPA形式化模型的安全分析方法采用基于四变量模型的软件需求进行变量的提取，拥有很多潜在好处，包括降低错误数量、促使需求更加完整准确等，可以确保过程模型变量的提取具有可靠性且没有遗漏。

Description

一种基于STPA形式化模型的安全分析方法

技术领域

本发明属于复杂系统的安全分析技术领域，具体地涉及一种基于STPA形式化模型的安全分析方法。

背景技术

Nancy Leveson在STAMP事故致因模型的基础上，提出了一种具体的危险分析方法——系统理论的过程分析(System-Theoretic Process Analysis,STPA)。STPA是一种针对于很多组件交互的社会技术系统的分析方法，它不是从已知和可预知的组件行为开始，而是从渐进的详细描述中自顶向下导出必要的安全约束。STPA的目的除了要找出上述不恰当的控制行为，还要进一步分析导致这些不恰当控制行为的原因，即系统自身的控制缺陷，如控制算法存在的问题、过程模型存在的问题等等，控制缺陷的一般分类。

由于建立STPA模型会涉及到很多变量，如果仅依靠头脑风暴得到，就可能会存在错误变量等问题，导致遗漏变量。

发明内容

本发明的目的在于针对现有技术的缺陷或问题，提供一种基于STPA形式化模型的安全分析方法。

本发明的技术方案如下：一种基于STPA形式化模型的安全分析方法包括如下步骤：一、识别出相应的系统级危险，确定相应的系统级安全约束；二、建立系统分层控制结构；三、建立系统STPA形式化模型并生成不安全控制行为；四、针对步骤三生成的不安全控制行为，确定产生所述不安全控制行为的原因。

优选地，在步骤三中，基于四变量模型提取的变量建立STPA形式化模型并生成不安全控制行为。

优选地，所述四变量模型提取的变量包括监督变量、受控变量、输入变量和输出变量。

优选地，对STPA模型而言，其基本定义如下：

定义1系统危害是一种系统状态或一系列条件的描述，它和最坏情况下的环境条件组合在一起会导致事故；所有系统危害的集合用H表示；

定义2变量是系统运行时取值会发生变化的参数，可以用v_i表示，所有变量集合V＝{v₁，v₂，…v_n}，n∈N；

定义3环境变量即EV＝{ev₁，ev₂，…ev_m}，ev_i∈V，m∈N；EV是实际系统运行时所需要考虑的外界条件；

定义4被控变量集即CV＝{cv₁，cv₂…cv_p}，cv_i∈V，p∈N；CV是由系统来控制改变的一些变量；

定义5控制动作是可以对被控变量赋值的操作，可以用a_i表示，所有的控制动作集合CA＝{a_i|1<i<n}；

定义6控制部件是系统中的一个组件，它可以通过外界环境输入EV，发出不同的控制动作a_i，来改变被控变量集CV的取值；系统中所有的控制部件集合用SC表示；

定义7引导词是控制部件的控制动作是否提供(或者提供过早、过晚)的标识；四种引导词的集合用GU表示，即GU＝{Provided，Not provided，Provided too early，Providedtoo late}，其中Provided对应于提供控制动作，Not provided对应于没有提供控制动作，Provided too early对应于提供控制动作过早，Provided too late对应于提供控制动作过晚；

定义8潜在的危险控制行为PHCA(Potential Hazard Control Action)定义为PHCA＝SC×GU×CA×EV，其中SC为控制部件集合，GU为引导词集合，CA为控制动作集合，EV为环境；潜在的危险控制行为包含了可能的危险控制行为；

定义9危险控制行为模型HCA(Hazard Control Action)定义为如若<sc,gu,ca,ev>∈PHCA&h∈H，假设<<sc,gu,ca,ev>，当且仅当在ev环境中，控制部件sc，以gu引导词提供控制动作ca时，会导致h危险。

本发明提供的技术方案具有如下有益效果：

所述基于STPA形式化模型的安全分析方法具有如下优点：

1、对STPA分析中构造不安全的控制行为模型，对基本概念通过严格定义，基于这些基本概念再定义不安全的控制行为HCA，使得分析过程更加有效；

2、采用基于四变量模型的软件需求进行变量的提取，拥有很多潜在好处，包括降低错误数量、促使需求更加完整准确等，可以确保过程模型变量的提取具有可靠性且没有遗漏；

3、基于STPA形式化模型生成的不安全控制行为表实质上也是关系表格，支持逻辑简化、冲突检测等功能，使分析更加自动化。

附图说明

图1是本发明提供的基于STPA形式化模型的安全分析方法的分析框架示意图；

图2是列车门控制器四变量模型的示意图；

图3是列车门系统控制结构图；

图4为通用的控制缺陷图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

除非上下文另有特定清楚的描述，本发明中的元件和组件，数量既可以单个的形式存在，也可以多个的形式存在，本发明并不对此进行限定。本发明中的步骤虽然用标号进行了排列，但并不用于限定步骤的先后次序，除非明确说明了步骤的次序或者某步骤的执行需要其他步骤作为基础，否则步骤的相对次序是可以调整的。可以理解，本文中所使用的术语“和/或”涉及且涵盖相关联的所列项目中的一者或一者以上的任何和所有可能的组合。

在本实施例中，如图1所示，本发明提供的基于STPA形式化模型的安全分析方法包括如下步骤：

一、识别出相应的系统级危险，确定相应的系统级安全约束。

具体地，以列车门为例，对于列车门的控制器，其主要功能是通过在不同的环境情况下，控制门的状态来使得列车运行更加有效、安全。该系统可能出现的事故是有人员从列车掉下去(或者被门夹上、发生紧急情况时无法出去)导致受伤。

可能存在的系统级危险有：

H1：有人在门口时关上火车门；

H2：火车不在站台或者正在运行时打开车门；

H3：紧急情况下门无法打开。

对应的系统级约束为：

SC1：当有人在门口时，火车门则不能关闭；

SC2：火车移动时或者不在站台时不能打开车门；

SC3：紧急情况时打开车门，让车内人员可以出去；

二、建立系统分层控制结构。

具体地，在步骤二中，构建系统的控制结构图。例如，以列车门系统为例，如图3所示为列车门系统的控制结构图。则图3所示的列车门系统的主要部件有自动门控制器、物理门、门执行器、传感器等。

三、建立系统STPA形式化模型并生成不安全控制行为。

具体地，基于步骤二建立的系统分层控制结构，进一步地建立系统STPA形式化模型并生成不安全控制行为。

需要说明的是，对STPA模型而言，其基本定义如下：

定义1系统危害是一种系统状态或一系列条件的描述，它和最坏情况下的环境条件组合在一起会导致事故。所有系统危害的集合用H表示。例如，核电站例子中，H＝{“放射性物质的排放”,“反应堆温度太高”,“设备运行超出了限”，“反应堆关闭”}。

定义2变量是系统运行时取值会发生变化的参数，可以用v_i表示，所有变量集合V＝{v₁，v₂，…v_n}，n∈N。如温度，压强等都属于变量。

定义3环境即EV＝{ev₁，ev₂，…ev_m}，ev_i∈V，m∈N。EV是实际系统运行时所需要考虑的外界条件。环境变量可以分层次，例如核电站例子中，主给水管道是否破裂是一个条件，但是这个条件需要通过其他一切物理现象来加以判断，如蒸汽发生器的压强以及压强下降值等来判断，因此，如果从比较高的层次，环境变量可以有主给水管道破裂状态，而从比较低的层次，蒸汽发生器的压强与蒸汽发生器的压强下降值应作为环境变量的组成。

定义4被控变量集即CV＝{cv₁，cv₂…cv_p}，cv_i∈V，p∈N。CV是由系统来控制改变的一些变量。例如，在核电站实例中，MSIV的状态可以由系统来控制改变，因此它是一个被控变量。

定义5控制动作是可以对被控变量赋值的操作，可以用a_i表示，所有的控制动作集合CA＝{a_i|1<i<n}。例如，核电站系统中，“关闭MISV”是一个可以改变MSIV状态的操作，因此它是一个控制动作。

定义6控制部件是系统中的一个组件，它可以通过外界环境输入EV，发出不同的控制动作a_i，来改变被控变量集CV的取值。系统中所有的控制部件集合用SC表示。例如，在核电站实例中，当出现主给水管道破裂时，操作员、PS和多样化自动化系统(DAS)都可以提供关闭MSIV的控制动作，来使得MSIV达到关闭状态。因此他们都属于控制部件，即在核电站实例中，SC＝{Operator，PS，DAS}。

定义7引导词是控制部件的控制动作是否提供(或者提供过早、过晚)的标识。四种引导词的集合用GU表示，即GU＝{Provided，Not provided，Provided too early，Providedtoo late}，其中Provided对应于提供控制动作，Not provided对应于没有提供控制动作，Provided too early对应于提供控制动作过早，Provided too late对应于提供控制动作过晚。

定义8潜在的危险控制行为PHCA(Potential Hazard Control Action)定义为PHCA＝SC×GU×CA×EV，其中SC为控制部件集合，GU为引导词集合，CA为控制动作集合，EV为环境。潜在的危险控制行为包含了可能的危险控制行为。例如，在核电站实例中，PHCA＝{<Operator,Provided,Close MSIV,Rupture,Leak,Leak,Adequate>,<Operator,Provided,Close MSIV,Rupture,Leak,Leak,Not Adequate>,<Operator,Provided,CloseMSIV,Rupture,Leak,No Leak,Adequate>,<Operator,Provided,Close MSIV,Rupture,Leak,No Leak,Not Adequate>……}。

实际上，上述定义1-9涉及到很多变量，在本实施例中，基于四变量模型提取的变量建立STPA形式化模型并生成不安全控制行为。

四变量模型提取的变量包括：

监督变量(Monitored Variables)：系统监督的环境量(如：温度，压力，高度)；

受控变量(Controlled Variables):受系统控制的环境量(如：显示器的显示(包括数值、文本、图形等)，作动器的阈值)

输入变量(Inputs Variables):该变量来自于监督变量的估量；

输出变量(Outputs Variables):该变量对受控变量产生影响。

实际上，输入变量和输出变量的值能够从输入和输出设备中读出。

而且，所示四变量模型中的四个变量之间的四种关系如下：

在监督变量和受控变量上的两种关系为：

NAT:环境约束(如：物理规律，系统所处环境的一些自然约束)；

REQ:为了满足系统的要求，额外添加的系统约束。

在输入变量和输出变量上的两种关系为：

IN:监督变量和输入变量之间的关系；

OUT:输出变量和受控变量之间的关系。

例如，如图3所示，为列车门控制器的四变量模型。在列车门控制系统中，控制部件只有列车门控制器。控制动作有打开车门和关闭车门。基于图3所示的变量，则有：

SC＝{列车门控制器}；

GU＝{Provided，Not provided，Provided too early，Provided too late}；

CA＝{打开车门，关闭车门}；

EV＝{HEv1_DoorObstructed，HEv2_TrainMotion，HEv3_Emergency，HEv4_TrainPlatformAlignment}；

由于只有一个控制器，下表中省略控制器的表示。*号表示该项变量取值不影响。

表1列车门控制系统中的不安全控制行为(UCA)表

对上表进行冲突检查以后，可以转换为细化后的安全约束如下：

SC1：当列车停止，车门与站台对齐时，并且没有发生紧急情况，如果有人在门口，应该提供打开车门操作；

SC2：当列车停止时，发生紧急情况时，应该及时提供打开车门操作；

SC3：当列车正在运行时，不应提供打开车门操作；

SC4：当列车停止时，未发生紧急情况时，车门并没与站台对齐，不应提供开门操作。

四、针对步骤三生成的不安全控制行为，确定产生所述不安全控制行为的原因。

具体地，在步骤四中辨别控制结构中的控制缺陷(Control Flaws)——导致危害发生的原因。STPA分析不仅要找到上述的不安全控制行为，还需要进一步分析产生这些不安全控制行为的原因，如系统缺陷、组件失效、算法缺陷、外界环境干扰等。图4展示了控制缺陷一般分类，将这个通用的分类与过程模型结合，可以根据这些通用的影响因素得到具体的影响因素。这些控制缺陷被视为导致危害产生的最根本的原因，这是危害分析中最重要的结果，设计人员依据这些缺陷对系统设计进行改进，以提升系统安全性

可以将原因分析分为两大类，第一类就是为什么控制器没有提供正确的控制动作，第二类就是控制器提供了正确的控制动作但是没有被实行。

例如，根据图4所示的通用缺陷图，可以得出导致各个不安全控制行为的原因，用条理化的方式表述如下：

UCA1：当列车停止，车门与站台对齐时，并且没有发生紧急情况，如果有人在门口，没有提供打开车门操作；

1、传感器没有检测到列车已经停止；

2、传感器没有检测到车门与站台已经对齐；

3、传感器没有检测到人在门口；

4、传感器将测量的数据反馈给自动门控制器有遗漏或是错误的；

5、需求没有传递给自动门控制器设计者/开发者或者说明不完整；

6、需求没有被软件正确的落实；

7、过程模型不正确；

8、自动门控制器发出打开车门操作，执行器未接收到；

9、执行器失效；

10、执行器对打开车门和关闭车门的指令执行顺序错误；

UCA2：当列车停止，发生紧急情况时，没有提供打开车门操作；

UCA3：当列车停止，发生紧急情况时，过晚提供打开车门操作；

1、传感器没有检测到列车已经停止；

2、传感器没有检测到发生紧急情况；

3、传感器将测量的数据反馈给自动门控制器有遗漏或是错误的；

4、需求没有传递给自动门控制器设计者/开发者或者说明不完整；

5、需求没有被软件正确的落实；

6、过程模型不正确；

7、自动门控制器发出打开车门操作，执行器未接收到；

8、执行器失效；

9、执行器对打开车门和关闭车门的指令执行顺序错误；

UCA4：当列车运动时，提供打开车门操作；

UCA5：当列车运动时，过早提供打开车门操作；

UCA6：当列车运动时，过晚提供打开车门操作；

1、传感器没有检测到列车在运动；

2、传感器将测量的数据反馈给自动门控制器有遗漏或是错误的；

3、需求没有传递给自动门控制器设计者/开发者或者说明不完整；

4、需求没有被软件正确的落实；

5、过程模型不正确；

6、自动门控制器发出关闭车门操作，执行器未接收到；

7、执行器失效；

8、执行器对打开车门和关闭车门的指令执行顺序错误；

UCA7：当列车停止，车门与站台未对齐时，并且没有发生紧急情况，提供打开车门操作；

UCA8：当列车停止，车门与站台未对齐时，并且没有发生紧急情况，过早提供打开车门操作；

UCA9：当列车停止，车门与站台未对齐时，并且没有发生紧急情况，过晚提供打开车门操作；

1、传感器失误检测到车门与站台已经对齐；

2、传感器失误检测到紧急情况的发生；

5、需求没有被软件正确的落实；

6、过程模型不正确；

7、自动门控制器发出关闭车门操作，执行器未接收到；

8、执行器失效；

9、执行器对打开车门和关闭车门的指令执行顺序错误。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

Claims

1.一种基于STPA形式化模型的安全分析方法，其特征在于：包括如下步骤：

一、识别出相应的系统级危险，确定相应的系统级安全约束；

二、建立系统分层控制结构；

三、建立系统STPA形式化模型并生成不安全控制行为；

2.根据权利要求1所述的一种基于STPA形式化模型的安全分析方法，其特征在于，在步骤三中，基于四变量模型提取的变量建立STPA形式化模型并生成不安全控制行为。

3.根据权利要求2所述的一种基于STPA形式化模型的安全分析方法，其特征在于，所述四变量模型提取的变量包括监督变量、受控变量、输入变量和输出变量。

4.根据权利要求2所述的一种基于STPA形式化模型的安全分析方法，其特征在于，对STPA模型而言，其基本定义如下：

定义1 系统危害是一种系统状态或一系列条件的描述，它和最坏情况下的环境条件组合在一起会导致事故；所有系统危害的集合用H表示；

定义2 变量是系统运行时取值会发生变化的参数，可以用v_i表示，所有变量集合V＝{v₁，v₂，…v_n}，n∈N；

定义3 环境变量即EV＝{ev₁，ev₂，…ev_m}，ev_i∈V，m∈N；EV是实际系统运行时所需要考虑的外界条件；

定义4 被控变量集即CV＝{cv₁，cv₂…cv_p}，cv_i∈V，p∈N；CV是由系统来控制改变的一些变量；

定义5 控制动作是可以对被控变量赋值的操作，可以用a_i表示，所有的控制动作集合CA＝{a_i|1<i<n}；

定义6 控制部件是系统中的一个组件，它可以通过外界环境输入EV，发出不同的控制动作a_i，来改变被控变量集CV的取值；系统中所有的控制部件集合用SC表示；

定义7 引导词是控制部件的控制动作是否提供(或者提供过早、过晚)的标识；四种引导词的集合用GU表示，即GU＝{Provided，Not provided，Provided too early，Providedtoo late}，其中Provided对应于提供控制动作，Not provided对应于没有提供控制动作，Provided too early对应于提供控制动作过早，Provided too late对应于提供控制动作过晚；

定义8 潜在的危险控制行为PHCA(Potential Hazard Control Action)定义为PHCA＝SC×GU×CA×EV，其中SC为控制部件集合，GU为引导词集合，CA为控制动作集合，EV为环境；潜在的危险控制行为包含了可能的危险控制行为；

定义9 危险控制行为模型HCA(Hazard Control Action)定义为如若<sc,gu,ca,ev>∈PHCA&h∈H，假设<<sc,gu,ca,ev>，当且仅当在ev环境中，控制部件sc，以gu引导词提供控制动作ca时，会导致h危险。